内部审计由于其年轻化、保密性强、行业特殊性等原因，企业极少对外宣传，致使许多朋友对内审部审计存在不理解、存在误会、存在偏见等问题，业界甚至理不清内部控制、风险管理与内部审计关系，经常存在“大内控小内审，大内审小内控”的争论，谁是谁非，我们暂且不下结论，只要对管理有利，谁大谁小无所谓。在此只是想再次谈谈我对内控、风控和内审的一些看法，三者之间相辅相成，形成严密的企业管理防线。但同时也存在一定的差异，从以下从四个方面进行分析。

01、Conceptual analysis   从概念上分析

1、内部控制

控制是指管理层、委员会及其他各方进行的、旨在加强风险管理、实现既定目标的可能性行为。

内部控制是指一个单位为了实现其经营目标，保护资产的安全完整，保证会计信息资料的正确可靠，确保经营方针的贯彻执行，保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。

2、风险管理

风险是指可能对目标的实现产生影响的事情发生的不确定性。风险的衡量标准是后果与可能性。风险管理是社会组织或者个人用以降低风险的消极结果的决策过程，通过风险识别、风险估测、风险评价，并在此基础上选择与优化组合各种风险管理技术，对风险实施有效控制和妥善处理风险所致损失的后果，从而以最小的成本收获最大的安全保障。处理风险的关键在于监控。

3、内部审计是一种独立、客观的保证和咨询活动

其目的在于为组织增加价值和提高组织的运作效率。它通过系统化和规范化的方法，评价和改进风险管理、控制和治理程序的效果，帮助组织实现其目标。

从概念上分析，控制也有规范、监督、评价和制约的作用；风险管理重在评估、预测、回避和降低风险；而内部审计是对内部控制、风险管理与治理进行评价，确保组织正常运营，保证不偏离公司目标。

02、Duty and function analysis   从职能职责上分析

内部控制的七种方式包括：不相容职务分离、授权审批控制、预算控制、会计系统控制、财产保护控制、经营分析控制、绩效考评控制。它们均以经营过程管理为主线。

风险管理是内部控制的延续，是对内部控制的再确认。

内部控制与风险管理对内部审计没有监管功能，内部审计则是不断地对公司内部控制程序进行评估与评价，对风险管理效果持续地评价，对公司运营效果不断地确认，对新增业务进行咨询与判定。

03、Relationship analysis   从三者关系上分析

从集团内部管理而言，三者之间有一定关联和相互作用。内部控制是风险管控和内部审计的基础，是风控和内审的根源，处在整个控制系统的前端。而风险管理则处在中端，它能为内部审计作业提供逻辑和方向，为内部审计确定问题（即是评估后的风险），确定审计方向（目标）提供精准定位。内部审计是通过确认和咨询的方式，对企业运营、内部控制、风险管理和公司治理进行评估与评价，以保证企业各项业务工作按照既定目标和标准，不偏不倚地完成公司目标。

04、Control mode analysis   从控制方式上分析

内控、风控、内审三者是“基础一分析一评估”递进关系、因果关系。

从控制方式方面总结，内部控制是事前控制，因为制度与流程是为管理而生，为防止企业管理出现问题和错漏而制订。所以，它是事前预防和控制范围。

风险管理，主要在事中进行分析评价，当然事前也可以，风险评价的基本和内容也是内部控制和制度流程，作业过程的风险就属于事中控制；就算事后分析风险也是为了事中的管控。所以，个人认为风控是事中控制的范畴。

内部审计，从三者关系而言，工作已经在前两者之后，是根据风险提示或结果，对内控相对应的地方（关键控制点）进行确认，确认风险是否存在，是否产生损失，是否可化解或转移，按照这个过程，就三者关系而论，内审就是事后的确认与评估，属于事后控制范畴。

"最后，财审经营王国君女士总结三者的关系是：内控是点，风控是线，内审是用线把点串起来组成面。"

——本文摘自《增值：内部审计且行且思》（梁雄著）

内控管理师（ICM）”着力解决企事业单位内部控制体系建设专业知识不足，内控管理专业人才匮乏的共性问题。